Analistas de seguridad han encontrado una grave vulnerabilidad de seguridad en la app de escritorio de Microsoft Teams que permitiría a un atacante local acceder a los tokens de autenticación y cuentas con la autenticación multi-factor (MFA) activada. Microsoft Teams es una plataforma de comunicación, incluida en la familia de productos 365, utilizada por más de 270 millones de personas para intercambiar mensajes de texto, realizar videoconferencias y almacenar archivos. |
El problema de seguridad recién descubierto afecta a las versiones de la aplicación para Windows, Linux y Mac y hace referencia al hecho de que Microsoft Teams almacena los tokens de autenticación de los usuarios en texto plano sin proteger el acceso a los mismos.
El equipo de Vectra Protect analizó Microsoft Teams y encontró un archivo ldb con tokens de acceso en texto sin cifrar. Adicionalmente, esos tokens dan acceso a las API de Outlook y Skype. La mayor preocupación es que esta falla sea explotada por un malware de robo de información. Esto permitiría a los atacantes robar tokens de autenticación de Microsoft Teams e iniciar sesión de forma remota como el usuario, evitando la autenticación multi-factor (MFA) y así obtener acceso total a la cuenta del usuario.
Hasta que un parche sea publicado para mitigar el riesgo, se recomienda a los usuarios cambiar a la versión del navegador del cliente de Microsoft Teams. Al usar Microsoft Edge para cargar la aplicación, los usuarios se benefician de protecciones adicionales contra fugas de tokens.
Los usuarios de Linux tendrían que migrar a una suite de colaboración diferente, especialmente desde que Microsoft anunció planes para dejar de soportar la aplicación para la plataforma en diciembre de 2022.
Para los usuarios que no puedan acceder a una solución diferente de inmediato, pueden crear una regla de supervisión para detectar los procesos que acceden a los siguientes directorios:
[Windows] %AppData%\Microsoft\Teams\Cookies
[Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
[macOS] ~/Biblioteca/Soporte de aplicaciones/Microsoft/Teams/Cookies
[macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
[Linux] ~/.config/Microsoft/Microsoft Teams/Almacenamiento local/leveldb
Fuente: https://www.vectra.ai/blogpost/undermining-microsoft-teams-security-by-mining-tokens